---

标题: JWT 安全与刷新策略（2025）

关键词:

• JWT
• 刷新令牌
• 轮换
• 受众
• 作用域

描述: 规范 JWT 的签发与校验与刷新策略，结合令牌轮换、受众与作用域与会话治理，提升整体安全性与可维护性。

categories:

• 文章资讯
• 技术教程

---

JWT 安全与刷新策略（2025）

JWT 便于跨服务鉴权，但需在签发与存储与刷新上做严格治理。

一、签发与校验

• 算法与密钥：使用强算法与安全密钥管理；拒绝 none 算法。
• 声明：iss/aud/exp/iat/sub 等完整声明校验。

二、刷新与轮换

• 短期 Access Token + 刷新令牌；刷新令牌仅用于续期。
• 轮换：每次刷新返回新刷新令牌并废弃旧令牌。

三、受众与作用域

• 受众（aud）：限定令牌可用服务范围，拒绝跨域滥用。
• 作用域（scope）：最小授权，按资源与操作细分。

四、存储与会话

• 存储：服务端安全存储刷新令牌与黑名单；前端避免持久化敏感令牌。
• 撤销与登出：支持令牌撤销与会话结束审计。

注意事项

• 关键词、分类与描述与正文一致；机制与策略为通用与可验证实践。
• 与网关与零信任策略协同统一。